AI Act : non, vous n’avez pas jusqu’en 2027 — les vraies dates qui concernent votre entreprise
Le 7 mai 2026, l’Europe a desserré l’étau. Les obligations les plus lourdes de l’AI Act — celles qui visent l’IA dite « à haut risque » — ne s’appliqueront pas en août 2026 comme prévu, mais en décembre 2027. Beaucoup de dirigeants ont retenu une seule chose de cette nouvelle : « On a jusqu’en 2027. »
C’est l’erreur qui va coûter cher.
Ce report ne concerne qu’une partie du texte. Pendant que tout le monde regarde 2027, trois échéances bien plus proches sont déjà en marche — dont une dans six semaines. Et le risque juridique, lui, n’a jamais été suspendu une seule journée.
Voici l’état réel du calendrier au 21 juin 2026, traduit en français courant, sans jargon. À chaque étape, vous trouverez ce que vous devez faire concrètement. En cinq minutes de lecture, vous saurez exactement où vous en êtes — et par où commencer.
Sommaire
Pour rendre tout cela concret, suivons une entreprise tout au long de l’article.
Prenons une PME française de 150 salariés. Elle utilise un logiciel qui présélectionne les CV à l’embauche, un chatbot sur son site pour le service client, et son équipe marketing génère des visuels avec une IA. Trois usages banals. Et pourtant : trois obligations différentes, trois horloges différentes. Aucune ne s’arrête en 2027.
L’Omnibus en clair : ce qui a été décidé (et pourquoi c’est quasi définitif)
Reprenons depuis le début, simplement. L’AI Act est la première loi au monde qui encadre l’intelligence artificielle. Adoptée par l’Union européenne en 2024, elle ne s’applique pas d’un coup : ses obligations s’allument par étapes, sur plusieurs années.
Problème : les outils techniques censés aider les entreprises à se mettre en règle (les normes, les guides officiels, les autorités de contrôle) n’étaient pas prêts à temps. Demander aux entreprises de respecter des règles dont le mode d’emploi n’existe pas encore, c’était intenable. D’où l’Omnibus : un paquet de corrections, négocié et acté politiquement le 7 mai 2026, qui repousse les échéances les plus lourdes et clarifie quelques points.
Est-ce vraiment acquis ? Oui. L’accord politique est bouclé, les États membres l’ont entériné le 13 mai. Il reste une adoption formelle — un vote de confirmation et une publication officielle — attendue avant l’été. C’est une formalité de procédure, pas un suspense. Tous les grands cabinets juridiques travaillent désormais sur les nouvelles dates. Le détail de cette négociation, je l’ai décrypté ailleurs. Ici, on regarde la photo d’ensemble : qu’est-ce qui s’applique, et quand ?
Un mot de vocabulaire qui revient partout, à retenir une fois pour toutes : le « déployeur », c’est vous. Dès que votre entreprise utilise un outil d’IA — même acheté tout fait chez un éditeur — vous êtes le déployeur, et vous portez une part de responsabilité. « Ce n’est pas mon logiciel, c’est celui du fournisseur » ne vous exonère de rien.
La frise complète : du déjà-là à 2028
Voici l’ensemble du calendrier sur une seule frise. Vert : déjà en vigueur. Bleu : maintenu au 2 août 2026 (non reporté). Orangé : reporté ou nouveau.
L’AI Act entre en vigueur
Le compte à rebours démarre. Rien à faire ce jour-là, mais l’horloge tourne.
Les pratiques interdites + la formation des équipes
Certains usages de l’IA deviennent purement interdits. Et toute entreprise doit veiller à ce que ses équipes aient un minimum de culture IA.
Les règles pour les « grands modèles »
Les fournisseurs des modèles généralistes (ceux derrière ChatGPT, Mistral, etc.) ont leurs propres obligations. Vous concerne surtout comme client.
Transparence : dire quand une IA est à l’œuvre
Non reporté. Un chatbot doit s’annoncer comme IA ; un contenu généré doit être signalé. Dans six semaines.
Tatouage des contenus IA + interdiction des « nudifiers »
Marquage technique des images/textes générés, et interdiction totale des applis qui « déshabillent » une personne sans consentement.
Les « bacs à sable » réglementaires nationaux
Chaque État doit ouvrir un espace de test encadré pour les entreprises qui innovent. Concerne surtout les start-up et éditeurs.
Haut risque (Annexe III) : la grosse échéance
RH, crédit, éducation, biométrie, infrastructures critiques… Les obligations lourdes. Reportées de 16 mois — mais c’est ici que le vrai chantier se trouve.
Haut risque embarqué dans des produits (Annexe I)
IA intégrée dans un dispositif médical, une machine industrielle, un jouet connecté. Dernière étape du calendrier.
Ce qui est déjà en vigueur (et que beaucoup ignorent)
Première surprise pour beaucoup de dirigeants : une partie de l’AI Act s’applique déjà, depuis plus d’un an.
Depuis février 2025, certaines pratiques sont purement interdites, sans délai ni tolérance. Parmi elles : la notation sociale des individus (attribuer un « score citoyen » à partir de leurs comportements), la manipulation par des techniques subliminales, ou encore le moissonnage massif de visages sur internet pour bâtir une base de reconnaissance faciale. Ce dernier cas n’est pas théorique : l’entreprise américaine Clearview AI a fait exactement cela, et la CNIL l’a déjà sanctionnée à plusieurs reprises.
Depuis août 2025, les fournisseurs de grands modèles (les « moteurs » derrière les assistants IA grand public) ont aussi leurs obligations. Pour une entreprise utilisatrice, l’enjeu est simple : choisir des fournisseurs sérieux et exiger d’eux la preuve de leur conformité.
✓ Quoi faire concrètement
Passez vos usages internes au crible. Demandez-vous si un seul de vos outils note, classe ou profile des personnes d’une manière qui pourrait tomber dans les pratiques interdites. En cas de doute, faites-le trancher avant d’aller plus loin.
Exigez la conformité de vos fournisseurs IA. Un éditeur sérieux doit pouvoir vous le confirmer par écrit. S’il esquive, c’est un signal.
Août 2026 : la transparence, c’est dans six semaines
Voici la date que tout le monde oublie parce qu’elle a été éclipsée par le report de 2027 : le 2 août 2026, l’essentiel des obligations de transparence n’a pas bougé. Elles s’appliquent comme prévu.
Le principe est limpide : une personne a le droit de savoir quand elle a affaire à une IA. Concrètement, votre chatbot de service client doit indiquer clairement qu’il est une intelligence artificielle, pas un humain. Et un contenu qui imite la réalité (un « deepfake », une voix ou une image synthétique) doit être signalé comme tel.
Revenons à notre PME : son chatbot est précisément concerné. Pas dans 18 mois — dans six semaines.
✓ Quoi faire concrètement
Affichez la mention « IA » sur vos agents conversationnels. Une phrase d’accueil du type « Vous échangez avec un assistant virtuel » suffit, à condition qu’elle soit visible d’emblée.
Repérez tout contenu généré que vous diffusez. Visuels, voix de synthèse, vidéos : prévoyez dès maintenant comment vous les signalerez.
Décembre 2026 : la première vraie échéance pour la plupart des entreprises
Si vous deviez retenir une seule date de cet article, ce serait celle-ci. Pour la majorité des entreprises qui n’ont pas de système « à haut risque », le 2 décembre 2026 est la première échéance qui mord vraiment.
Deux choses entrent en jeu ce jour-là. D’abord, le « tatouage » des contenus générés par IA : les outils qui produisent textes, images, sons ou vidéos doivent intégrer un marquage technique permettant de détecter que c’est artificiel. Pour notre PME, l’équipe marketing qui publie des visuels IA est directement concernée.
Ensuite, une nouvelle interdiction, ajoutée à la dernière minute par les négociateurs : les « nudifiers », ces applications qui génèrent des images intimes d’une personne sans son consentement, ainsi que tout contenu pédocriminel synthétique. Interdiction totale, retrait du marché. Un signal clair : l’Europe ne se contente pas de gérer le risque économique, elle protège aussi les personnes.
✓ Quoi faire concrètement
Activez le marquage sur vos contenus IA publiés. Vérifiez auprès des outils que vous utilisez (génération d’images, de texte) qu’ils proposent ce marquage, et intégrez-le à votre process de publication.
Si vous proposez un outil de génération d’images, assurez-vous qu’il ne peut pas produire ce type de contenu interdit, et documentez les garde-fous en place.
Décembre 2027 : le haut risque, le gros morceau
Voici enfin la fameuse date de 2027 — celle qui a fait croire à tout le monde qu’on avait le temps. Le 2 décembre 2027 s’appliquent les obligations les plus lourdes : celles qui visent l’IA « à haut risque ».
Qu’est-ce qu’un système « à haut risque » ? Ce sont les usages où une IA peut affecter sérieusement la vie des gens. Concrètement : un logiciel qui trie des CV à l’embauche, qui évalue la performance des salariés, qui décide d’accorder ou refuser un crédit, qui note des examens, ou qui intervient dans la biométrie et les infrastructures critiques.
Notre PME est concernée : son logiciel de tri de CV est un système à haut risque. Et c’est là que la notion de « déployeur » prend tout son sens — l’entreprise est responsable de cet usage, même si elle a simplement acheté l’outil à un éditeur.
✓ Quoi faire concrètement
Votre logiciel de tri de CV est « à haut risque », que vous l’ayez développé ou acheté. Trois gestes à lancer maintenant, sans attendre 2027 :
Demandez à votre éditeur sa documentation de conformité AI Act. S’il répond « notre outil n’est pas concerné », exigez-le par écrit, avec la justification. C’est votre filet de sécurité.
Vérifiez qu’un humain garde la main. Un recruteur doit pouvoir revoir et écarter la recommandation de l’IA — pas seulement cliquer « valider ». Une supervision de façade ne suffira pas.
Prévenez les candidats qu’une IA intervient dans le tri. La transparence est exigée, et elle vous protège en cas de contestation.
Une dernière étape ferme le calendrier : le 2 août 2028, pour l’IA embarquée dans des produits déjà régulés — un dispositif médical d’aide au diagnostic, une machine industrielle, un jouet connecté. Si c’est votre cas, le bon réflexe est de vous rapprocher de l’éditeur du dispositif, car ces produits relèvent souvent d’abord de leur réglementation sectorielle.
Le piège : pourquoi « report » ne veut pas dire « répit »
Reste la vraie question stratégique. Puisque le gros morceau est repoussé à fin 2027, pourquoi ne pas attendre ? Pour trois raisons concrètes.
D’abord, les échéances proches ne sont pas en 2027 — elles sont déjà là. La transparence s’applique en août 2026, le tatouage et l’interdiction des nudifiers en décembre 2026. Attendre 2027, c’est rater deux trains qui sont déjà à quai.
Ensuite, le report ne crée aucun vide juridique. Un tri de CV discriminatoire piloté par IA en 2026 tombe déjà sous le coup du RGPD, du Code du travail et du droit de la non-discrimination. La CNIL et les prud’hommes n’attendent pas décembre 2027 pour agir. Le report concerne les obligations spécifiques de l’AI Act — pas votre responsabilité générale, qui, elle, est pleine et entière dès aujourd’hui.
Enfin, construire une gouvernance prend 12 à 18 mois. Et le plus dur — recenser tous les systèmes IA qui tournent dans l’entreprise, puis les classer — ne dépend pas des normes techniques encore en préparation. Vous pouvez le faire dès maintenant. Commencer fin 2027, ce serait disposer de quelques semaines au lieu de dix-huit mois.
Le report ne suspend pas le risque. Il déplace une seule échéance — pas votre responsabilité.
Le coût du « on verra plus tard » : jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial pour une pratique interdite, et 15 M€ ou 3 % pour un manquement aux obligations de transparence. Pour une PME à 20 M€ de CA, 3 %, c’est déjà 600 000 €.
Votre tableau de bord AI Act au 21 juin 2026
Voici la synthèse, obligation par obligation : où en est-on juridiquement, et que faut-il faire. C’est la photo à garder sous les yeux.
Par où commencer : vos 5 premières actions
Quelle que soit votre taille, le travail de fond est le même — et il ne dépend d’aucune norme encore en préparation. Voici les cinq gestes par lesquels démarrer, dans l’ordre.
✓ Vos 5 premières actions, quelle que soit votre taille
1. Recensez tous les systèmes IA qui tournent chez vous. Achetés comme maison — y compris ceux que vos équipes utilisent sans vous le dire, le fameux « shadow AI ». On ne peut pas gouverner ce qu’on ne voit pas.
2. Classez chaque système : interdit, haut risque, simple transparence, ou risque faible. C’est 80 % du travail de mise en conformité.
3. Identifiez qui est « déployeur ». C’est vous, dès que vous utilisez un outil — même acheté. Cette responsabilité ne se délègue pas au fournisseur.
4. Vérifiez la supervision humaine sur chaque système à enjeu. Un humain doit pouvoir comprendre, contester et corriger la décision de l’IA.
5. Documentez tout. Une décision tracée vaut dix promesses orales. C’est ce qui vous protégera en cas de contrôle.
Ces cinq étapes ne sont pas un projet à lancer en 2027. Ce sont les fondations à poser maintenant, pendant que vous avez encore du temps devant vous. La question pour un dirigeant n’est pas « quand dois-je me conformer ? ». C’est : « est-ce que je sais seulement quels systèmes IA tournent dans mon organisation ? » Reprendre la main sur ses usages IA commence par cette photographie honnête.
Savoir où vous en êtes, en 90 minutes
L’AI Risk & Governance Scan fait pour vous la première étape qui compte : recenser vos systèmes IA, les classer par niveau de risque, et identifier vos échéances réelles. Vous repartez avec une feuille de route claire, pas une liste d’angoisses.
